2023—2030年澳大利亞網絡安全戰略（譯文）

澳大利亞政府

白運濤 譯

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

網絡安全是一個緊迫的國家問題，影響著每個澳大利亞人的生活，政府需要立即采取行動。在過去的18 個月里，數百萬名澳大利亞公民受到了毀滅性網絡事件的影響，平均每6 分鐘就有一次網絡犯罪報告被記錄，僅勒索軟件一項，每年就給澳大利亞經濟造成高達30 億美元的損失。人工智能和機器學習將帶來新的風險，物聯網將導致數十億臺額外的設備連接到互聯網，為網絡攻擊開辟了新的空間，這種威脅將繼續增長。同時，網絡安全對澳大利亞來說也是一個巨大的機遇。全球網絡產業規模巨大，發展迅速，并將持續存在。如果政府抓住這一機遇，澳大利亞將在為國民創造高薪工作和產品出口到世界各地等方面處于獨特的地位。澳大利亞政府正在啟動《2023—2030年澳大利亞網絡安全戰略》（以下簡稱《戰略》），《戰略》提出了大膽愿景，即到2030年，澳大利亞將成為網絡安全領域的全球領導者?！稇鹇浴穼⒏淖儼拇罄麃喚W絡安全的游戲規則，政府將建造6 個“網絡盾牌”，以幫助、保護公民和企業免受網絡威脅。同時，《戰略》呼吁澳大利亞將進入一個網絡合作的新時代，希望能夠成為太平洋各國所選擇的安全伙伴，并進行密切合作，以了解其他國家面臨的獨具特色的網絡挑戰。

到2030年，澳大利亞將成為網絡安全領域的全球領導者。我們設想，未來將擁有更強大的網絡防御能力，使我們的公民和企業能夠繁榮發展，并在網絡攻擊后迅速響應。為了實現我們的愿景，將使用6 個網絡盾牌，每一個網絡盾牌都為抵御網絡威脅提供了額外的防御層，并將澳大利亞公民和企業置于核心位置。在《戰略》所涵蓋的整個時期，澳大利亞政府和行業之間將進行多個階段的持續合作，以加強澳大利亞網絡防御能力，提高網絡成熟度?；诖?，我們將分為3 個階段實施《戰略》。

階段1（2023—2025年）：加強基礎。解決網絡防護中的關鍵漏洞，為最脆弱的公民和企業提供更好的保護，并支持在整個地區提高網絡成熟度。

階段2（2026—2028年）：提高整個經濟的網絡成熟度。進一步投資網絡生態系統，繼續擴大網絡產業規模，培養多樣化的網絡人才。

階段3（2029—2030年）：推進全球網絡安全的前沿發展。引領新興網絡技術的發展，以適應整個網絡環境中的新風險和新機遇。

與行業密切合作。作為階段1 的一部分，澳大利亞政府將與行業合作，共同設計一套里程碑式的立法改革，以加強網絡防護。這將包括新的網絡義務、簡化報告流程、改進事件響應和更好地分享網絡事件后的教訓等。該立法改革的設計將經過仔細考慮，以最大限度地減少監管負擔。《戰略》標志著澳大利亞保護公民和企業免受網絡威脅的方法發生了重大轉變。通過建立和加強網絡盾牌，澳大利亞人理應擁有黃金標準的網絡防御，并獲得強大的網絡態勢所帶來的巨大經濟機遇，以確保一個安全和繁榮的數字未來?！稇鹇浴芬巹澚宋覀儗崿F目標的路線。

1 戰略背景

當前，澳大利亞面臨著復雜的網絡安全形勢，網絡攻擊的數量、速度和復雜性都在增加。網絡安全風險比以往任何時候都嚴峻，國家最敏感的數據和最脆弱的成員都面臨網絡安全風險。但我們也有一個極好的機會成為網絡安全領域的全球領導者。澳大利亞經濟數字化，依靠安全可靠的數字平臺、技術和在線服務，這對澳大利亞生產力提高和未來繁榮發展至關重要。

網絡犯罪分子、國家或國家支持的行為者經常以網絡和數據為目標。網絡犯罪的工業化使惡意行為者比以往任何時候都更容易竊取有價值的數據，破壞我們的系統，并勒索澳大利亞人獲得相應經濟利益。曾經完全屬于國家領域的能力和技能現在可以由國家和非國家團體購買和雇用。國家支持的行為者繼續利用網絡行動竊取信息，挑戰我們的主權。網絡罪犯和相關國家不僅試圖利用我們的設備和人員中的漏洞，還破壞澳大利亞關鍵的基礎設施和政府系統。

人工智能、量子計算和生物技術等關鍵和新興的網絡安全技術，將徹底改變澳大利亞生活的方方面面。它們將創造經濟和商業機會，改善澳大利亞政府提供的服務方式，并取得更好的成果。然而，這些技術也將為惡意網絡參與者創造新的機會。隨著全球網絡和系統變得越來越互聯，網絡攻擊面將不斷擴大，使惡意行為者有更多的機會快速瞄準澳大利亞公民。今天數據安全不代表明天數據安全。如果不能保護國家免受網絡攻擊，那么對我們的社會和數字經濟將產生毀滅性的影響。作為一個繁榮的國家，澳大利亞擁有高度的在線連接，是對網絡犯罪分子非常有吸引力和有利可圖的目標。勒索軟件、網絡勒索、詐騙和數字盜竊都對澳大利亞造成了重大損失，有關數據統計，澳大利亞企業預防網絡犯罪成本每年增長高達14%。

澳大利亞擁有堅實的網絡安全基礎，可以成為網絡安全領域的全球領導者。正是在這個基礎上，我們制定了《戰略》。澳大利亞的核心優勢之一是擁有強大的立法體系和監管框架，將有助于實施新的網絡安全標準，而快速更改這些法律的能力將幫助我們適應不斷變化的網絡安全需求。從根據2018年《關鍵基礎設施安全法案》（以下簡稱《SOCI 法案》）監管關鍵基礎設施，到根據保護性安全政策框架和相關州和地區安排保護澳大利亞政府的人員、信息和資產，澳大利亞政府可以利用一套杠桿來增強國家的網絡安全。我們完全有能力制定進一步的立法改革，以實現真正的全社會變革。

我們不僅有強有力的法律，還有強有力的防御。澳大利亞擁有廣泛的情報、防御和進攻的網絡能力，以應對嚴重的網絡攻擊。澳大利亞信號局（Australian Signals Directorate，ASD）致力于全方位的網絡運營，以保護澳大利亞免受全球威脅，并保護國家利益。ASD 獲取信號情報，提供主動的網絡風險建議和幫助，并可以部署進攻性網絡行動。這些行動旨在威懾、破壞、降級和拒絕違反ASD 現有立法和監督框架，以及國內法和國際法的行為。法新社牽頭調查影響政府、國家重要系統或嚴重影響澳大利亞經濟的網絡犯罪活動。許多其他政府機構、行業領導者和社區團體也支持ASD 和澳大利亞聯邦警察（Australian Federal Police，AFP）的能力。這包括我們世界級的研究、教育和技術部門，它們正在推動網絡安全及相關領域的重大技術進步。澳大利亞有許多全球成功的技術公司，并在關鍵技術（包括量子、機器人和人工智能）方面擁有強大的研究能力。學術界、行業和政府之間的深度合作使澳大利亞能夠實現對網絡安全目標的期望。

在太平洋地區，澳大利亞是值得信賴的首選伙伴。我們高度重視強大的區域和集體網絡安全能力建設，通過支持建立國家計算機應急小組，協助制定新的國家網絡戰略及立法，開展提高認知行動，促進在線安全，并倡導全球科技公司認真對待安全保障，從而增強整個地區的網絡彈性。在全球范圍內，澳大利亞是網絡安全的主要發聲者。通過開展多邊論壇，我們表明了對維護全球網絡安全規則的國際秩序的長期承諾。我們支持網絡空間領域中負責任的國家行為，并呼吁相關國家停止惡意網絡行動。作為國際舞臺上值得信任的發聲者，澳大利亞有機會提高網絡安全的全球標準。這些優勢推動了我們對更安全的未來的愿景。通過發揮戰略優勢并抓住新的機遇，澳大利亞可以在2030年之前成為網絡安全領域的全球領導者。

肺癌嚴重威脅著人類生命健康。近年來，我國肺癌的發病率和病死率已居惡性腫瘤之首，預計到2025年，我國新發肺癌病例人數將超過100萬，盡管臨床已規范化治療，但預后仍較差，5年生存率仍較低[3-4]。血清CA153、CEA、CA125、CYFRA是輔助診斷肺癌較常用的腫瘤標志物，但早期輔助診斷肺癌的靈敏度和特異度均欠佳[1]。

2 戰略主要內容

2.1 網絡盾牌1：強大的企業和公民

澳大利亞公民和企業可以受到更好的保護，免受網絡威脅，并可以在受到網絡攻擊后迅速反彈。到2030年，所有澳大利亞人都將受益于強大的數字經濟。未來澳大利亞每個人和企業都擁有網絡安全所需的技能和資源。

網絡安全不再是技術主題，而是整個國家的共同責任。要將網絡安全責任分擔到整個行業，將更多的網絡風險分配給最有能力解決這些風險的人。小型企業和弱勢群體將得到澳大利亞政府和行業的專門支持。澳大利亞政府將幫助企業領導者了解他們的網絡成熟度，并找到擁抱數字技術的方法，同時繼續保護他們的客戶。各種社區——包括偏遠和區域社區、文化和語言多樣性群體、年輕人、老年人、殘疾人等人群——將有能力建設他們的網絡彈性。澳大利亞公民將清楚地了解網絡風險，并知道如何快速獲得幫助。到2030年，澳大利亞將成為網絡攻擊的主要對象。我們的網絡安全目標是破壞網絡犯罪的商業模式，并使澳大利亞公民處于有效應對的強大地位。較大的企業將通過幫助能力較弱的人，在加強經濟安全方面發揮核心作用。如果發生網絡勒索，澳大利亞公民將知道如何安全應對。

網絡事件不可避免，它是生活的一部分，也是在線商業的一部分。然而，如果出現問題，澳大利亞政府和社區將做好充分準備，共同努力，并迅速反彈。國家網絡安全協調員（網絡協調員）和國家網絡安全辦公室負責協調整個政府的事件響應工作。與普通公民相比，企業將更容易報告網絡事件，網絡犯罪的受害者將獲得恢復網絡安全所需的支持。

為了實現2030年愿景，澳大利亞政府將支持中小型企業加強其網絡安全；幫助澳大利亞人保護自己免受網絡威脅；擾亂和阻止網絡威脅行為者攻擊澳大利亞；加強與行業合作，打破勒索軟件業務模式；為企業提供明確的網絡指導；使企業在網絡事件后更容易獲得建議和支持；確保身份安全，并為身份盜竊受害者提供更好的支持。

2.2 網絡盾牌2：網絡安全技術

澳大利亞公民可以相信數字產品和服務是安全、可靠和符合國家標準的。網絡安全是一項公益事業。到2030年，所有澳大利亞公民都應感受到來自安全的和有彈性的數字經濟的保護。他們應該相信，網絡安全將由技術供應鏈中最有能力的人來實施。消費者和企業將廣泛采用網絡安全標準，并從技術和軟件市場中受益。在購買數字設備或軟件時，消費者應該安心，相關產品會受到網絡安全保護，并且沒有將他們或他們的家庭置于網絡安全風險中。在咨詢過程中，業界呼吁對數字產品的網絡安全標準采取統一的方法。網絡安全技術標準將與國際最佳實踐保持一致。澳大利亞將與業界和國際合作伙伴密切合作，設計和調整通用安全標準。

除了保護軟件和硬件，還需要保護數據。最有價值的數據集需要與當前網絡環境保持同步的充分保護，而不會對行業施加過分繁重的要求。這包括適當和合理的簡化數據保留要求。此外，澳大利亞政府將繼續積極開發以安全為核心的新興關鍵技術。到2030年，澳大利亞公民應該能夠安全地迎接新興技術帶來的機遇，包括量子、人工智能和6G 等網絡安全技術。

為了實現2030年愿景，澳大利亞政府將確保公民可以信任他們的數字產品和軟件；保護公民最有價值的數據集；促進全民安全地使用網絡安全新興技術。

2.3 網絡盾牌3：世界級的網絡威脅共享和攔截

澳大利亞可以訪問實時威脅數據，并可以大規模阻止網絡威脅。澳大利亞公民應該相信，政府和行業正在共同努力，在網絡威脅造成重大傷害之前識別和阻止它們。網絡威脅情報共享在提高威脅可見性方面發揮著關鍵作用，澳大利亞政府和行業之間的合作有助于構建整體網絡威脅圖景。政府利用從機密來源獲得的知識和信息，幫助企業預測和應對復雜的網絡威脅。與此同時，行業提供關于新出現的網絡威脅和脆弱性的實時數據，幫助政府加強網絡威脅防備和應對選擇的能力。新的網絡安全技術和做法將塑造新的網絡威脅格局，并提高大規模共享網絡威脅信息的能力。到2030年，澳大利亞將擁有整體經濟威脅共享和封鎖網絡的能力，該網絡將建立在ASD 現有的情報威脅共享平臺上，以增強在全國范圍內以機器速度共享網絡威脅情報的能力。該網絡將包括增強行業間的信息共享，提供多方向的“中心輻射”模型，將數據反饋到政府威脅情報系統中，并使信息能夠有效地分發給行業。實時網絡威脅共享將促進自動威脅攔截功能，使澳大利亞政府和行業能夠及時阻止網絡威脅。

為了實現2030年愿景，澳大利亞政府將創建一個完整的經濟威脅情報網絡；擴展威脅攔截功能，以阻止網絡攻擊。

2.4 網絡盾牌4：受保護的關鍵基礎設施

關鍵基礎設施和重要政府系統能夠抵御網絡攻擊并可從網絡攻擊中恢復。到2030年，每個澳大利亞人都應該安心，因為他們知道，基本服務——如電網、供水和銀行系統——能夠經受住網絡攻擊的破壞并可以迅速恢復。我們每天依賴的關鍵基礎設施必須具有網絡彈性，能夠更好地預防網絡攻擊，并及時響應。關鍵基礎設施和國家級系統的所有者和運營商需要清楚地了解面臨的風險，包括網絡威脅、人員風險、物理危害和自然災害。根據《SOCI 法案》，他們必須制訂適當的風險緩解計劃，以防范這些威脅。通過監管和積極合作，澳大利亞政府將與行業合作，為所有者和運營商提供高水平保障。澳大利亞政府也將以身作則，并堅持對工業施加同樣標準。隨著越來越多地采用新技術來支持一系列政府服務，我們將努力實現高水平的網絡成熟度，培養公眾對符合世界級網絡安全標準的信任，同時，將與州、地區和地方政府進行合作，建立全國一致且強大的網絡彈性文化。

為了實現2030年愿景，澳大利亞政府將明確關鍵基礎設施監管范圍；加強關鍵基礎設施的網絡安全義務和合規性；加強聯邦政府的網絡安全能力，以及對關鍵基礎設施進行壓力測試，以識別漏洞。

2.5 網絡盾牌5：主權能力

澳大利亞擁有蓬勃發展的網絡產業，這得益于多樣化和專業的網絡勞動力隊伍。到2030年，澳大利亞將形成一個蓬勃發展的網絡安全生態系統，吸引、培養和保留人才，擁有強大的網絡安全公司和能力，并培育創新技術。澳大利亞將因在網絡技術和應用科學方面的開創性工作而受到認可，擁有大量、熟練和多樣化的網絡勞動人才。高質量的教育和培訓機會將成為進入網絡安全專業的既定途徑。我們的網絡勞動力將專業化，具有明確的標準來驗證網絡技能和經驗。通過利用對移民、教育和培訓系統里程碑式改革的現有承諾，將組建一支世界級的網絡勞動力隊伍，歡迎具有不同背景的人才。我們的網絡勞動力將是包容性的，為不同的團隊提供強大的職業機會——特別是女性，她們在該行業的代表性顯著不足。澳大利亞將擁有一個蓬勃發展的網絡安全行業，支持國家繁榮，創造高薪就業機會，并為當前和未來的網絡安全需求創造創新解決方案。網絡安全公司將得到強勁市場的支持，有更好的機會獲得政府合同和投資，以促進增長。澳大利亞強大的學術和研究機構將繼續推動世界領先的網絡研究和創新。通過行業和政府之間更密切、重點突出的合作，我們可以解決一些最棘手的網絡安全問題，并投資于人工智能和量子計算等新興技術的安全發展。

為了實現2030年愿景，澳大利亞政府將擴充國家網絡隊伍并使之專業化，同時加快本地網絡產業發展、研究和創新。

2.6 網絡盾牌6：地區復原力和全球領導力

澳大利亞的網絡彈性更強，并且正在數字經濟中蓬勃發展。我們將繼續維護國際法律和規范，并根據我們的共同利益制定全球規則和標準。到2030年，澳大利亞希望本地區能夠更好地管理、減輕網絡事件的影響并從中恢復。澳大利亞將繼續與國際伙伴、行業和民間社會合作并建立聯盟，以制定和倡導符合我們共同利益和價值觀的規則、規范和標準。澳大利亞將是網絡安全的首選合作伙伴，擁有管理該地區日益增長的威脅所需的信任和專業知識；我們將提供可持續和共享的網絡彈性。在我們的幫助下，合作伙伴將發展并保留網絡技能和能力，以增強網絡彈性。盡管網絡威脅激增，但很少有網絡攻擊會造成重大損害，因為我們保護措施強大，所以網絡恢復迅速。澳大利亞公民和企業將從高質量標準和數字貿易規則中獲得經濟和安全利益。

為了實現2030年愿景，澳大利亞政府將作為首選合作伙伴，支持建立具有網絡復原力的地區，塑造、維護和捍衛國際網絡規則、規范和標準。

3 下一步：實施和評估

實施是愿景的核心。澳大利亞政府制定了《網絡安全戰略行動計劃》（以下簡稱《行動計劃》），將《戰略》中的承諾和倡議轉化為實現具體成果的直接行動。為確保我們實施各項舉措，澳大利亞政府將采取以下措施。

3.1 為戰略實施和管理分配資源

我們承諾在政府各部門和機構投入專用資源，以落實《戰略》中的舉措。這包括為實施具體計劃，與行業合作伙伴共同投資，利益相關者參與計劃，以及對戰略實施的整體管理和監督提供資金。

3.2 明確實施責任

澳大利亞政府為《戰略》中的每項舉措分配了明確的責任。《行動計劃》確定了負責執行每項行動的牽頭機構和促進執行的支持機構。網絡協調員將負責戰略實施的全政府協調，包括與各州、地區和地方政府的合作。

3.3 繼續與行業和社區密切磋商

《戰略》是在與行業和民間社會密切磋商的基礎上制定的。為了實現2030年愿景，澳大利亞政府將繼續采取真正和透明的共同領導方式，盡可能地參與共同設計，并確保行動在強有力的監管和適當的激勵措施之間取得平衡。在《戰略》推動后，政府將啟動有針對性的咨詢程序，與行業共同制定具體舉措。這將包括擬議的立法改革，以及將影響企業及其網絡安全義務的其他舉措。這一磋商過程將直接為這些舉措的設計和實施提供信息。澳大利亞政府還將成立一個由行業領袖組成的行政網絡委員會，以支持這種協商方式。這一新的戰略合作伙伴關系每年召開兩次會議，將就國家網絡安全優先事項開展更廣泛的合作。該委員會由來自各行業的高管組成，將與其他網絡管理小組形成互補，通過強有力的領導來豐富完善澳大利亞的網絡生態系統。

3.4 對進展進行穩健評估

對所有舉措的有力評估將支持《戰略》的實施。這將包括評估各項舉措的影響和整體戰略在實現2030年愿景方面的有效性。我們將繼續評估威脅環境的性質和保護澳大利亞公民和企業的網絡盾牌的強度。該評估將以行業和社區負責人的反饋意見、威脅情報及從網絡事件中吸取的教訓為依據。

3.5 根據網絡環境變化調整計劃

我們將采取靈活的方式來實施《戰略》，以適應不斷變化的地緣政治格局、威脅環境和技術市場趨勢。澳大利亞政府將探索中長期新舉措的機會，以確保我們繼續在實現愿景方面取得有意義的進展。為確保我們的行動重點突出并符合目標，我們將每兩年發布一次更新的《行動計劃》。

4 結 語

我們將決心實施《戰略》中概述的愿景，以確保澳大利亞在具備世界級網絡安全產業、具有網絡意識的公民、有效和針對性的政府監管、更好地支持行業及與國際合作伙伴的更深入合作的基礎上，為未來持久的成功和繁榮做好準備。我們將加強網絡彈性以面對網絡攻擊，并及時做出響應和反擊，以維護我們的經濟安全和國家繁榮。相信經過共同努力，可以實現到2030年成為網絡安全領域全球領導者的愿景。